Neue Versionen von Kaspersky Endpoint Detection and Response und Kaspersky Anti Targeted Attack Platform ab sofort verfügbar

Mit den aktuellen Versionen der Unternehmenslösungen Kaspersky Endpoint Detection and Response (EDR) und Kaspersky Anti Targeted Attack Platform bietet der Cybersicherheitsexperte neue Funktionalitäten zur Vereinfachung von Ermittlungssprozessen sowie Erweiterung von Threat Hunting. Ergänzt um eine neu geschaffene, von Kaspersky-Experten angelegte und verwaltete Datenbank mit Angriffsindikatoren (Indicators of Attack – IoAs) bieten beide Technologien zusätzlichen Kontext für die Untersuchung cyberkrimineller Aktivitäten. Darüber hinaus werden IoAs nun in der Wissensdatenbank MITRE ATT&CK abgebildet, wodurch Taktiken, Techniken und Verfahren von Cyberkriminellen noch tiefergehender analysiert werden können. Unternehmen sind dadurch in der Lage, komplexe Angriffsvorfälle noch schneller zu untersuchen.

Screenshot: Sysbus

Cybervorfälle im Zusammenhang mit komplexen Bedrohungen können erhebliche Auswirkungen auf Unternehmen haben: Kosten für die Reaktion darauf und prozessuale Wiederherstellungsaktivitäten, die Notwendigkeit, in neue Systeme oder Prozesse zu investieren, die Auswirkungen auf die betriebliche Verfügbarkeit oder gar die Schädigung der eigenen Reputation. Heutzutage müssen Unternehmen nicht nur auf die wachsende Zahl weit verbreiteter schädlicher Programme, sondern auch auf die Zunahme komplexer und zielgerichteter Bedrohungen reagieren. Im Jahr 2018 gaben 41 Prozent der Unternehmen an, bereits Opfer eines zielgerichteten Angriffs geworden zu sein.

Angriffsindikatoren zur Unterstützung des Ermittlungsprozesses

Kaspersky EDR und Kaspersky Anti Targeted Attack verfügen über Funktionen zur Analyse möglicher Kompromitierungsindikatoren (IoCs) wie etwa Hash, Dateiname, Pfad, IP-Adresse oder URL. Zusätzlich bieten neue Funktionen zur Identifizierung von Angriffsindikatoren die Möglichkeit, Taktiken und Techniken der Angreifer zu erkennen – unabhängig von der Malware oder legitimen Software, die bei der Attacke verwendet wurde. Um den Prozess bei der Untersuchung der Telemetrie mehrerer Endpunkte zu vereinfachen, werden Sicherheitsvorfälle mit den IoAs von Kaspersky Lab in Beziehung gesetzt. Im Falle eines IoA-Matchs erscheinen in der Benutzeroberfläche detaillierte Beschreibungen und Empfehlungen zur bestmöglichen Reaktion auf den Angriff.

Kunden können darüber hinaus eigene IoA-Sets – basierend auf ihren internen Erfahrungswerten, dem Wissen über die wichtigsten Bedrohungen und die Spezifika ihrer eigenen IT-Umgebung, erstellen. Alle neuen Vorfälle werden automatisch und in Echtzeit mit der internen Datenbank der Angriffsindikatoren abgeglichen. Dies ermöglicht – mit Rücksicht auf die Besonderheiten der geschützten Infrastruktur – die sofortige, auf fundierten Daten basierenden Ergreifung– reaktiver Maßnahmen und langfristige Erkennungsszenarien.

Anbindung an MITRE ATT&CK-Wissensdatenbank

Kaspersky EDR, die Kaspersky Anti Targeted Attack Platform und MITRE ATT&CK, eine weltweit zugängliche Wissensdatenbank gesammelter, auf realen Beobachtungen basierender Kompromitierungstaktiken und -techniken, ermöglichen es Unternehmen, Angriffe effizienter zu analysieren und zu bewerten. Neu entdeckte Bedrohungen werden automatisch in die Wissensdatenbank aufgenommen und umgehend mit Daten zu externer Intelligence- und Angriffstechniken in Beziehung gesetzt. Denn ein tiefgreifendes Verständnis von Angriffen reduziert zukünftige Risiken und hilft Sicherheitsteams dabei, die Zeit zur Analyse und Reaktion auf Bedrohungen zu verkürzen.

Diese erweiterte Funktionalität ist auch für Unternehmen verfügbar, die Cybersicherheitsüberwachung und -management anbieten. Dabei ermöglicht die neue, mandantenfähige Architektur Managed Security Services Providern (MSSPs), die Infrastruktur mehrerer Clients gleichzeitig zu schützen.

Weitere Informationen: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr und  https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform